[iptables] ban IP als deze een bepaalde URL opvraagt

Dit kan iptables niet zelfstandig. Wat je dan nodig hebt is fail2ban of een vergelijkbaar alternatief.

Ik zou er overigens geen aandacht aan besteden, tenzij je last hebt van performanceproblemen of buitensporig dataverkeer.

Als je paranoide wilt worden, moet je naar logs van webservers staren. En als je niet paranoide wilt worden, kijk dan niet. Zo simpel is het eigenlijk.

Als het subdomein niet bestaat, waarom roepen spammers het dan aan? Het zou niet eens via DNS te vinden moeten zijn. Je moet ook denken waarom je machine reageert op zo'n verzoek. Als het niets van dat host, moet 't ook gewoon niets doen. Niet eens in logs laten zien.

als een IP-adres een bepaalde URL aanvraagt (forum.foobar.com) wordt het IP-adres gelijk gebanned

Dit raad ik af omdat dit het risico oplevert dat je jezelf buitensluit als je een foutje maakt. Om dat te voorkomen moet je de toegestane (lokale!) adressen weer gaan whitelisten.

[ Voor 4% gewijzigd door Kalief op 24-05-2015 00:47 ]

Hero, meestal heeft een webserver een default site ingesteld (en op kleine servers wil men dat config block al wel eens aanpassen/laten staan om de website mee te tonen) waarop alle vragen die niet voor een specifiek (sub)domein zijn naartoe worden gestuurd net om typos op te vangen. De onbekende URLs komen dan ook netjes in de access log van de webserver terecht. Uiteraard alleen van toepassing als je ook op DNS niveau met een wildcard subdomein hebt gewerkt (had een lesgever die vond dat ik aan het valsspelen was daarmee). Heb je dat niet dan zal het inderdaad mislopen en kan de request nooit tot op de server geraken.

Hero of Time schreef op zondag 24 mei 2015 @ 00:23:
Als het subdomein niet bestaat, waarom roepen spammers het dan aan? Het zou niet eens via DNS te vinden moeten zijn. Je moet ook denken waarom je machine reageert op zo'n verzoek. Als het niets van dat host, moet 't ook gewoon niets doen. Niet eens in logs laten zien.

Proxy scans, als je een site terugkrijgt met een andere/random hostnaam dan heb je waarschijnlijk een proxy te te pakken.

Dit door iptables laten doen is eigenlijk niet de juiste aanpak. Iptables werkt op een ander niveau en weet niet welke hostname wordt opgevraagd. Als je het echt zo wil doen dan kun je naar de "string match" extensie voor iptables kijken. Er zijn aparte tools om de logs van je webserver in de gaten te houden. Die zou je iptables kunnen laten aanroepen.

Ik vraag me wel een beetje af of het zin heeft. Iedere webserver op internet wordt de hele dag door bestookt met scans en foutieve verzoeken. Een niet bestaande hostname benaderen lijkt redelijk onschuldig. Heb je er last van?

PS. wel goed van je dat je alert bent op wat er met je server gebeurt.

Op zich is installeren van fail2ban geen gek idee, sowieso een goede tool om scriptkiddies te weren van een publieke webserver.
En die is best te configureren dat hij je logs ook voor deze URL's scant. Jezelf buitensluiten is niet echt een probleem, in de standaard configuratie is dat slechts tijdelijk.

u_nix_we_all schreef op woensdag 27 mei 2015 @ 16:26:
Op zich is installeren van fail2ban geen gek idee, sowieso een goede tool om scriptkiddies te weren van een publieke webserver.
En die is best te configureren dat hij je logs ook voor deze URL's scant. Jezelf buitensluiten is niet echt een probleem, in de standaard configuratie is dat slechts tijdelijk.

Ik vraag me wel af wat fail2ban toevoegt als je de rest van je server beveiliging goed op orde hebt.
Het kost namelijk wel extra load om alle logs te scannen en te bannen, zeker voor goedkope (vps) servers.

Soldaatje schreef op woensdag 27 mei 2015 @ 16:31:
[...]

Ik vraag me wel af wat fail2ban toevoegt als je de rest van je server beveiliging goed op orde hebt.
Het kost namelijk wel extra load om alle logs te scannen en te bannen, zeker voor goedkope (vps) servers.

Extra load valt bij ons heel erg mee, maar dat is niet zo'n drukke server.
En we gebruiken het toch al tegen ssh brute-force attacks. Ook al heb je je beveiliging op orde, scriptkiddies die naar vunerabilities gaan lopen scannen op je systeem hou je toch, met fail2ban heb je daar (bijna) geen last meer van.

Perfecte beveiliging bestaat niet. Met fail2ban van je krakers hopelijk voor ze een exploit kunnen gebruiken waar jij wel gevoelig voor bent.

CAPSLOCK2000 schreef op woensdag 27 mei 2015 @ 17:12:
Perfecte beveiliging bestaat niet. Met fail2ban van je krakers hopelijk voor ze een exploit kunnen gebruiken waar jij wel gevoelig voor bent.

Maar eigenlijk helpt het niet zo als ze via proxies en tor exit nodes iets doen. Het is een extra maatregel die de boel niet per se veiliger maakt. Het enige waar je fail2ban voor moet vertrouwen is dat het systeem minder zwaar wordt belast.

Geen enkele beveiligingsmaatregel is perfect. Alles is te omzeilen en overal zijn uitzonderingen op. Een goede beveiliging bestaat uit een combinatie van componenten die samen de beveiliging op het gewenste niveau brengen. Je probeert die componenten zo te kiezen dat ze elkaar aanvullen en versterken en dat het falen van een enkele component wordt opgevangen door de andere componenten. fail2ban kan één van die componenten zijn.

Wat ik je als tip kan meegeven.

1) zorg dat in apache ALL hostname en ipadressen bij een de nodige vhost staat.
b.v.
vhost-localhost
NameVirtualHost localhost:80
ServerName localhost
ServerAlias localhost.localdomain 127.0.0.1 ::1

etc..
maak 1 virtual host aan en geeft deze op als b.v. scanners.
vhost-scanners
NameVirtualHost *:80
ServerName EXTERNAL_IP_OF_HOST

iemand die nu met "forum.jouwdomain.tld" binnen komt, wordt afgevangen door de "scanner" vhost.
Zet deze pot dicht, in naar een andere docroot met alleen een index.html erin.
klaar ben je, daar kunnen ze niet zoveel meer mee, laat ze maar lekker scannen..

ufw + fail2ban + iptables _GEOIP
perfecte combi.
voor mij SSH alleen vanaf nederland,
China blok ik in zijn geheel, en alles gaat verder automatisch met ufw en fail2ban.

voor zo'n geoip block in ufw, deze even als voorbeeldje.
in rules.before stoppen.
-A ufw-before-input -m state --state NEW -m geoip --src-cc NL -m tcp -p tcp --dport 22 -j ACCEPT -m comment --comment 'SSH%20Geoip'

google effe voor de GEO ip implementatie.

voor fail2ban, om port scanners te blokken.
jail.local
b.v.
[ufw-block-scans]
enabled = true
port = all
filter = ufw-block-scans
banaction = ufw-all
#banaction = sendmail-whois[name=fail2ban-ufw-block-scans]
#logpath = /var/log/messages
logpath = /var/log/ufw.log
maxretry = 4
bantime = 84600

filter.d/ufw-block-scans.conf
# Fail2Ban configuration file
# ( Tested on Debian Wheezy )
[Definition]
# Matches lines such as:
# Jan 22 10:49:21 magic kernel: [ 5803.262477] [UFW BLOCK] IN=eth0 OUT= MAC=52:54:00:ff:ae:66:00:19:e2:bd:27:c1:08:00 SRC=193.24.43.121 DST=129.110.2.1 LEN=40 TOS=0x00 PREC=0x00 TTL=45 ID=55759 PROTO=TCP SPT=59022 DPT=80 WINDOW=1024 RES=0x00 ACK URGP=0
failregex = kernel: \[.*\] [UFW BLOCK\] IN=.* OUT=.* MAC=.* SRC=<HOST>
ignoreregex = ^.*SRC=\s.*DPT=(80|443|25|465|587|143|993|110|995)\s.*$

action.d/ufw-all.conf
# Fail2Ban configuration file
#

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any
actionunban = ufw delete deny from <ip> to any

heb je een leuk opzetje..
de apache opzet even goed naar kijken en goed opletten dat je nergens een IP of naam in de host of alias dubbel hebt.

Trouwens, nog een reden om het niet te doen: stel ik typ per ongeluk wwww.domein.tld dan heb ik direct een ipban aan mijn broek terwijl ik gewoon een typo heb gemaakt.

Je kan het zo gek maken als je wilt, reverse proxy ertussen of gebruik maken van een sslvpn oplossing als tussenlaag

Met de reverse proxy oplossing kun je goed je urls bepalen de beschikbaar zouden moeten zijn

Blokker_1999 schreef op donderdag 28 mei 2015 @ 14:50:
Trouwens, nog een reden om het niet te doen: stel ik typ per ongeluk wwww.domein.tld dan heb ik direct een ipban aan mijn broek terwijl ik gewoon een typo heb gemaakt.

nee.

in deze opzet maak je alle namen die je draait bekent in een vhost.
b.v.
vhost-scanners ( met servernaam het ipnummer van je server )
vhost-localhost ( servernaam localhost en ip aliasses
vhost-www ( servernaam www.domain.tld en evt alias name en geen ipnummers dus )
vhost-mail ( servernaam mail.domain.tld en evt alias name en geen ipnummers dus )

de fail2ban ignored deze porten SRC=\s.*DPT=(80|443|25|465|587|143|993|110|995)
en hij triggert pas bij 4 hits.. een port scanner heef geen kans, en de porten die je programmas gebruiken zet je in ignore.

wat ik nog extra nu gebruik zijn de fail2ban filers van apache.
het filter wat foute mappen en files kan blokken zet je op het log van de scanner vhost.
script kiddies hebben zo minder kans, die scannen vaak op ip basis..

en om apache zelf en de websites te beschermen gebruik ik nog mod-security.
tja het is wat werk om het allemaal zo op te zetten, maar ik heb er verder weinig omkijken naar.
niet dan ik niet kijk, ik controleer regelmatig de logs en ben altijd up2date wel zo belangrijk natuurlijk.

en op soort gelijke manier ook mail omgeving beschermt.

en bepaal wel met fail2ban hoelang je geblokked wordt.
b.v. 3 x fout inloggen, 15-30 min
port scanners 1 dag, zelf vond ik 2 dagen erg goed, some proberen ze een week lang elke dag, dan blijven ze in de block lijst staan

best wat werkt, paar weken elke avond wel wat gedaan, maar ik ben blij met het resultaat.
ik slaap er goed op.

p.s..
en onthoud natuurlijk.. NIETS is 100% veilig..

[ Voor 13% gewijzigd door Thc_Nbl op 18-06-2015 22:22 ]

Heb je gezien dat Blokker_1999 het over een typo heeft? Dat is dus een naam die per definitie niet bekend is bij Apache. De Apache poorten uitzonderen gaat voorbij aan de vraag van de TS. Die wil juist mensen blokkeren van z'n Apache. Wat je voorstelt is op zich een zinnige en goede configuratie maar niet waar we het over hadden.

ow lijkt mij wel, de TS heeft het over.

.. In mijn logs zie ik dat forum.foobar.com nogal vaak wordt aangeroepen door spammers. Dit subdomein bestaat helemaal niet. ..

dus zoals ik zeg, vhost-scanners aanmaken, fail2ban op die logs laten monitoren en poef weg zijn ze.
maar persoonlijk, zou ik alleen maar blokken als er echt gescanned wordt. Anders trigger je wel heel snel.